NIS2 en Finlande

1. Aperçu rapide de l’applicabilité aux PME en Finlande

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Finlande ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Finlande et, dans certains cas, aux prestataires numériques étrangers desservant le marché finlandais.

Les PME devraient évaluer leur qualification au titre du régime national finlandais de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Finlande

La Finlande met en œuvre la directive par des modifications de la loi sur la sécurité de l’information dans l’administration publique et les infrastructures critiques, qui régit les obligations nationales en matière de cybersécurité.

La législation révisée aligne le régime finlandais sur la directive (UE) 2022/2555 et renforce les obligations relatives à la gestion des risques, à la gouvernance, à la supervision et aux sanctions.

Le cadre intègre les normes de la directive dans la structure de supervision sectorielle établie de la Finlande tout en préservant la continuité réglementaire.

3. Champ d’application en Finlande

Le périmètre sectoriel de la Finlande reflète les catégories minimales de la directive sans extension confirmée au-delà du socle.

4. Seuils de taille et applicabilité aux PME en Finlande

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la stabilité sociétale, la sécurité publique ou la continuité des services essentiels.

Les autorités finlandaises conservent des pouvoirs formels de désignation lorsque le risque systémique ou des considérations de sécurité nationale justifient l’inclusion.

5. Cadre de classification des entités en Finlande

Les entités sont catégorisées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des audits et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification repose sur le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifient une surveillance renforcée.

La Finlande applique la structure de supervision à deux niveaux de la directive au sein de son modèle réglementaire sectoriel.

6. Exigences de gestion des risques de cybersécurité en Finlande

Le régime national finlandais s’aligne sur le socle de la directive pour la gestion des risques de cybersécurité. Les entités dans le champ doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques liés à la chaîne d’approvisionnement au titre de NIS2 en Finlande
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et garanties cryptographiques
• Procédures de gestion des vulnérabilités
• Sensibilisation et formation du personnel à la cybersécurité

Les mesures doivent refléter l’état de l’art et l’exposition aux risques de l’organisation. L’alignement sur la norme ISO/IEC 27001 et les orientations finlandaises en cybersécurité est encouragé.

La surveillance de la chaîne d’approvisionnement exige une diligence raisonnable des fournisseurs et des garanties contractuelles de cybersécurité.

7. Responsabilité de la direction et gouvernance en Finlande

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre finlandais :

• Les conseils d’administration sont responsables de la surveillance de la conformité.
• La haute direction doit assurer une compétence adéquate en cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être prévue dans le cadre de mécanismes d’exécution alignés sur la directive.

Les attentes en matière de responsabilité de la direction au titre de NIS2 en Finlande élèvent la gouvernance de la cybersécurité au niveau exécutif.

8. Obligations de notification des incidents en Finlande

9. Autorités de supervision et modèle d’exécution en Finlande

Autorité principale : Agence finlandaise des transports et des communications (Traficom).

La Finlande opère un modèle de supervision sectoriel coordonné par Traficom, les ministères et régulateurs compétents exerçant une surveillance dans leurs domaines respectifs.

Supervisory powers include:

• Demandes d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination européenne en cybersécurité

La structure d’exécution s’aligne sur les exigences de coopération au niveau de la directive.

10. Amendes et sanctions NIS2 en Finlande

La Finlande applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Finlande peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Chaîne d’approvisionnement et sécurité des fournisseurs au titre de NIS2 en Finlande

Les entités doivent gérer l’exposition cyber liée aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Exigences contractuelles de répercussion des obligations de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche finlandaise s’aligne sur les attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d’enregistrement et d’auto-identification en Finlande

Entities within scope must:

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les coordonnées

Les délais procéduraux suivent le cadre de mise en œuvre finlandais. À l’état actuel de la transposition, la Finlande suit le cadre de référence de la directive NIS2. Les détails nationaux de mise en œuvre peuvent préciser certaines obligations.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le RGPD et autres lois en Finlande

Le Règlement général sur la protection des données continue de s’appliquer conjointement.

Les chevauchements à considérer incluent :

• Notification d’une violation de données personnelles dans les 72 heures
• Coordination entre autorités de contrôle
• Enquêtes parallèles en cybersécurité et protection des données
• Règles sectorielles finlandaises en matière de cybersécurité

Un incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal en Finlande sont supervisées par les autorités finlandaises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Finlande peuvent être soumis à la supervision finlandaise selon leur structure d’établissement.

Les exigences de représentation suivent les normes de la directive pour les prestataires non européens desservant les marchés finlandais.

15. Calendrier de mise en œuvre en Finlande

• Adoption de la Directive : 2022
• Amendements législatifs nationaux : 2024–2025
• Entrée en vigueur : Lors de la publication nationale
• Notification à la Commission : Conformément aux procédures de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le calendrier de transposition de la Finlande s’aligne sur les exigences de mise en œuvre de l’UE.

16. Principaux points à retenir pour les PME en Finlande

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont opérationnellement critiques.
• La supervision de la gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit des délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est une obligation centrale.
• Une planification précoce de la conformité réduit l'exposition aux mesures d'exécution.

FAQ : Guide NIS2 pour les PME en Finlande